Pesquisar

Análise de composição de software

Resolva as vulnerabilidades de código aberto e os problemas de conformidade de licença de forma proativa usando integrações de desenvolvedor e priorização sensível ao contexto.

Solicite uma avaliação gratuita

Como as vulnerabilidades estão se tornando cada vez mais difundidas e evasivas, as organizações precisam lidar com os riscos de código aberto de forma mais rápida, fácil e contínua. A linha tênue entre a infraestrutura nativa da nuvem e as camadas de aplicativos traz uma oportunidade de proteger o código na fonte, incorporado às ferramentas DevOps. Ao abordar a segurança e a conformidade de código aberto de forma conectada, as organizações podem reduzir a quantidade de falsos positivos, priorizar as descobertas e proteger o código mais rapidamente.

Leia a pesquisa da Unit 42 sobre vulnerabilidades no código-fonte aberto.

Baixar o relatório

Os aplicativos nativos de nuvem dependem do código aberto

O software de código aberto é um componente muito importante dos aplicativos nativos da nuvem, o que facilita para os desenvolvedores criar novos recursos. Mas, apesar de todas as vantagens, softwares de código aberto de terceiros apresentam riscos de segurança e conformidade que precisam ser tratados como parte de qualquer programa de segurança nativo da nuvem.

A expansão da dependência gera risco

Softwares de código aberto envolvem várias camadas de dependências de pacotes, o que dificulta saber onde e como as partes do OSS estão sendo usadas na pilha de aplicativos. Além do mais, as vulnerabilidades muitas vezes ficam ocultas em pacotes transitivos. Para acompanhar essas vulnerabilidades e licenças é preciso usar uma abordagem contínua e integrada.

Ferramentas de segurança isoladas provocam falhas de cobertura

Sem ter contexto completo da infraestrutura de um aplicativo, fica difícil determinar se uma vulnerabilidade identificada está mesmo exposta no aplicativo ou se é de baixo risco. Quando as descobertas da segurança dos aplicativos e da infraestrutura são conectadas, as vulnerabilidades aparecem no contexto de toda a base de código, permitindo priorizar e corrigir de forma mais rápida.

O Prisma Cloud facilita para os desenvolvedores eliminar os riscos de código aberto sem desacelerar o trabalho.

Quando se integra às ferramentas DevOps e ao código, construção, implantação e tempo de execução, o Prisma Cloud verifica proativamente os pacotes de código aberto em busca de vulnerabilidades e problemas de conformidade de licenças. O modelo de dados do Prisma Cloud se destaca de outras soluções SCA porque ele conecta a infraestrutura no nível de código e os pontos fracos do aplicativo, bem a extrapolação completa de dependências e as correções granulares de versão.

Visão única da infraestrutura conectada e dos riscos dos aplicativos
Integrado em fluxos de trabalho e ferramentas de desenvolvedor
Segurança de todo o ciclo de vida para pacotes e imagens de contêiner

Construído em fontes confiáveis
Integrações de fácil uso para desenvolvedores
Varredura ilimitada da árvore de dependências
Correções de atualização de versão
Análise de licenças e emissão de relatórios de auditoria
Aplicação de regras personalizadas

A SOLUÇÃO DO PRISMA CLOUD

Uma abordagem com base em contexto e voltada ao desenvolvedor para análise de composição de software

Altamente preciso e com reconhecimento de contexto

Construído com alicerce nos bancos de dados de vulnerabilidade mais respeitáveis e conectado ao banco de dados de política de infraestrutura mais robusto da área, a Análise de composição de software (SCA) do Prisma Cloud revela vulnerabilidades com o contexto que os desenvolvedores precisam para entender o risco e corrigir rapidamente. O Prisma Cloud fornece a cobertura ampla e profundo para código aberto de que você precisa para impedir a próxima grande vulnerabilidade:

Faça varredura entre idiomas e gerenciadores de pacotes com precisão inigualável
Identifique vulnerabilidades em pacotes de código aberto em todos os idiomas mais populares e mais de 30 fontes de dados upstream para reduzir os falsos positivos.
Aproveite as fontes líderes do setor para obter total confiança em segurança de código aberto
O Prisma Cloud verifica as dependências de código aberto onde quer que estejam e as compara com bancos de dados públicos como o NVD e o Prisma Cloud Intelligence Stream para identificar vulnerabilidades e revelar informações importantes sobre correções.
Conecte os riscos à infraestrutura e aos aplicativos
Limite as vulnerabilidades que estão expostas realmente em sua base de código para combater falsos positivos e priorizar correções mais rapidamente.
Identifique vulnerabilidades em qualquer profundidade de dependência
O Prisma Cloud processa dados do gerenciador de pacotes para extrapolar árvores de dependência para a camada mais distante para identificar riscos de código aberto ocultos.
Veja e catalogue sua cadeia de suprimentos de software
O Gráfico da Cadeia de suprimentos fornece um inventário consolidado de seus pipelines e código. A visão de todas essas conexões e a capacidade de emitir uma lista de materiais de software (SBOM) facilitam acompanhar o risco do aplicativo e entender a superfície de ataque.

Altamente preciso e com reconhecimento de contexto

Totalmente integrado com correções flexíveis

Somente os desenvolvedores conhecem o contexto inteiro de como e onde as bibliotecas de código aberto são usadas. Portanto, tornar o feedback acessível a eles é a melhor forma de corrigir as vulnerabilidades. O SCA, que usa as integrações de ferramentas de desenvolvedor nativas do Prisma Cloud e a extensibilidade de nossas ferramentas CLI, é totalmente integrado aos fluxos de trabalho do desenvolvedor, para que as vulnerabilidades surjam no lugar certo e na hora certa:

Integre a segurança de código aberto às ferramentas e aos fluxos de trabalho do desenvolvedor
Dê aos desenvolvedores a confiança para integrar novos pacotes em suas bases de código com feedback de vulnerabilidade em tempo real através de IDEs e solicitações de pull/mesclagem de VCS.
Crie e aplique políticas personalizadas em todo o ciclo de vida
Integre o gerenciamento de vulnerabilidades para fazer varredura de repositórios, registros, pipelines de CI/CD e ambientes de tempo de execução e determine qual software será bloqueado ou permitido.
Corrija problemas sem introduzir alterações de interrupção
Obtenha a menor atualização recomendada para corrigir vulnerabilidades em dependências diretas e transitivas sem o risco de quebrar funções críticas. Corrija vários problemas de uma só vez com a flexibilidade de selecionar versões granulares por pacote.
Implante uma lista de materiais de software
O Prisma Cloud localizará dependências em repositórios e criará uma lista de materiais de software (SBOM) e uma lista de materiais de infraestrutura (IBOM), e as exportará para os formatos padrão.

Totalmente integrado com correções flexíveis

Parte do CNAPP

A única maneira de garantir cobertura completa ao proteger aplicativos nativos da nuvem é verificar as vulnerabilidades em cada camada e etapa do ciclo de vida do desenvolvimento. O SCA é só um dos componentes da plataforma de proteção de aplicativos nativa da nuvem do Prisma Cloud que identifica o risco do código para a nuvem.

Identifique os riscos no código enquanto os desenvolvedores constroem e testam o software
Verifique os pacotes e as imagens e do código aberto m busca de vulnerabilidades e problemas de conformidade em repositórios, como GitHub, e registros, como Docker, Quay, Artifactory e outros.
Bloqueie implantações para obter imagens verificadas
Utilize a varredura de imagens e a análise de área limitada de contêineres do Prisma Cloud para identificar e bloquear imagens maliciosas e permitir que apenas imagens seguras cheguem à produção.
Impeça a atividade em qualquer ambiente de tempo de execução
Gerencie políticas de tempo de execução a partir de um console centralizado para garantir que a segurança esteja sempre presente como parte de cada implantação. O mapeamento de incidentes para a estrutura MITRE ATT&CK, combinado com a análise forense detalhada e metadados avançados, ajuda as equipes de SOC a rastrear ameaças para cargas de trabalho efêmeras nativas da nuvem.
Segurança de tempo de execução com reconhecimento de contexto
Detecte e previna contra configurações incorretas e vulnerabilidades que levam a violações de dados e de conformidade no tempo de execução com inventário completo dos ativos da nuvem, avaliações de configuração, correções automatizadas e muito mais.

Conformidade com a licença OSS

Não espere até uma revisão de conformidade manual para descobrir que uma biblioteca de código aberto não é compatível com seus requisitos de utilização de licença. O Prisma Cloud cataloga licenças de código aberto para dependências e pode alertar ou bloquear implantações com base em políticas de licença personalizáveis:

Evite violações dispendiosas de licença de código aberto
Envie feedback antecipadamente e bloqueie compilações com base em violações de licença de pacotes de código aberto com suporte para todos os idiomas populares e gerenciadores de pacotes.
Faça uso das políticas padrão com base no uso da classe do setor
As políticas prontas para uso trazem níveis de opinião de severidade para os tipos de licença comuns e correspondência de padrões para linguagem de tipo de licença não padrão para simplificar determinar o uso aceitável.
Crie políticas personalizadas para aplicar os requisitos de conformidade interna
Defina com base no tipo de licença para atender aos requisitos internos para licenças copyleft e permissivas. Ao bloquear antecipadamente s violações de políticas integrando as ferramentas DevOps, as organizações evitam ter que lidar com a falta de conformidade de licenças no futuro.